放心使用!龙蜥全系产品均不受 XZ 后门影响

简介: 龙蜥为产品的安全保驾护航,让龙蜥产品安全无忧,让龙蜥用户安心放心。

近日,红帽(Red Hat)和美国网络安全和基础设施安全局(CISA)联合发布警告,称流行的 Linux 压缩工具 XZ Utils 存在影响广泛的高危漏洞 CVE-2024-3094(CVSS评分 10 分),被其维护者(Jian Tan)植入恶意后门,黑客可以利用此后门远程入侵并控制整个系统。龙蜥社区安全委员会联合阿里云安全应急响应团队第一时间进行分析排查,证实龙蜥全系产品(Anolis OS 7、8、23)及 Alibaba Cloud Linux(Alinux 2、3)均不受 XZ 后门影响,可放心使用。龙蜥社区第一时间更新龙蜥漏洞库,发布了漏洞公告

01 漏洞背景影响

微软工程师安德烈斯·弗伦德(Andres Freund)上周在调查一台运行 Debian Sid (Debian 发行版的滚动开发版本)的 Linux 设备 SSH 登录速度过慢问题时发现了该安全漏洞(后门),并报告至 openwall(https://www.openwall.com/lists/oss-security/2024/03/29/4),红帽为之分配了漏洞编码 CVE-2024-3094(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094)。

调查显示,从 5.6.0 版本开始,XZ 的上游代码库和 tarball 下载包中被植入恶意代码。liblzma(XZ 包的一部分)构建过程会从伪装成测试文件的混淆二进制恶意文件中提取预构建的对象文件,用于修改 liblzma 代码中的特定函数,生成一个被篡改的 liblzma 库,该库可以被任何链接到此库的软件使用,从而截取并修改与该库的数据交互。

经证实,该漏洞后门存在于 XZ Utils 最新发布的 5.6.0 和 5.6.1 版本中。利用该后门,远程攻击者能够通过 SSH 发送任意代码,造成远端任意代码执行,从而入侵并控制整个系统

02 漏洞缓解方案

安全专家建议,XZ5.6.0 和 5.6.1 版本的用户应该立即降级停用该工具

龙蜥社区发行的 XZ 为稳定版本 5.2.2、5.2.4 及 5.4.4,均不受该漏洞(后门)影响,无需采取任何行动,可放心使用

03 龙蜥应急响应

  • 2024.3.28 阿里云安全应急响应团队第一时间感知到 XZ 后门漏洞,立即联合龙蜥安全团队对漏洞情报进行分析,迅速排查龙蜥全系产品,及下游 Alibaba Cloud Linux 产品(简称 Alinux) ,确认 Anolis OS 及 Alinux 全系产品中 XZ 组件均未升级至受影响的 5.6.0 及 5.6.1 版本,均不受该漏洞影响
  • 2024.3.29 龙蜥社区安全中心更新漏洞库,发布 CVE-2024-3094 漏洞公告

04 龙蜥漏洞管理

龙蜥社区已经建立起从漏洞感知、评估,到漏洞修复、披露的全生命周期闭环的安全漏洞管理流程体系。社区针对最新安全威胁进行及时的跟踪与风险评估,制定完备的漏洞修复策略。并依据威胁等级发布安全更新,帮助龙蜥用户及时修复安全漏洞,全面提升系统安全。

龙蜥社区漏洞全生命周期管理流程如下:


龙蜥社区非常重视龙蜥产品安全性,组建了龙蜥社区安全委员会,制定了完善的安全应急响应流程,为龙蜥产品的安全保驾护航,让龙蜥产品安全无忧,让龙蜥用户安心放心。


龙蜥社区也已成为 CVE.org 组织的 CNA 单位,具备 CVE 编号分配资质。截至目前,龙蜥社区已成功申报了十多个 Linux 内核相关的安全漏洞。


同时,龙蜥社区也通过组建「龙蜥社区安全联盟」,与国内外知名的设备、平台、安全厂商及高校科研单位一起,共建龙蜥社区安全生态 (如需加入「龙蜥社区安全联盟」,可与我们联系:secretary@openanolis.org)。也欢迎感兴趣的企业和个人加入“龙蜥社区系统安全 SIG 交流群”(钉钉群号:74890001865),进一步合作探讨。


龙蜥社区系统安全SIG 钉钉交流群

相关文章
|
5天前
|
存储 安全 Cloud Native
安全利器!龙蜥推出机密计算远程证明服务—OAAS 诚邀广大用户测试
服务化的远程证明服务中心 OAAS具有极高的安全性和灵活性,并在内部实现了策略引擎,旨在为使用可信执行环境 (TEE) 的用户提供一个安全高效的远程证明免部署解决方案,满足在各类机密计算应用场景下的核心信任需求。
|
7月前
|
存储 测试技术 Linux
|
5天前
|
安全 Linux Anolis
CentOS to 龙蜥衍生版 KeyarchOS 系统迁移体验 | 开发者说
CSDN 知名博主使用龙蜥衍生版 KeyarchOS 迁移使用体验,欢迎阅读。
|
9月前
|
Linux Anolis 开发者
CentOS 停服后如何给世界更好选择? 龙蜥操作系统从技术创新到商业变现都走了哪些路?
CentOS 停服后如何给世界更好选择? 龙蜥操作系统从技术创新到商业变现都走了哪些路?
56 0
|
6月前
|
安全 Java BI
如何高效修复 CVE?龙蜥漏洞管理系统 CVECenter 来助力 | 龙蜥技术
如何高效修复 CVE?龙蜥漏洞管理系统 CVECenter 来助力
|
9月前
|
Linux Anolis 开发者
CentOS 停服后如何给世界更好选择? 龙蜥操作系统从技术创新到商业变现都走了哪些路
CentOS 停服后如何给世界更好选择? 龙蜥操作系统从技术创新到商业变现都走了哪些路
69 0
|
11月前
|
算法 测试技术 Linux
龙蜥白皮书精选:Ancert——硬件兼容性验证与守护
Ancert 支持服务器整机和 NIC、HBA、FC、GPU、NVMe 等多种外设。
|
12月前
|
安全 Linux Anolis
带你读《2022龙蜥社区全景白皮书》——5.8.1 龙蜥操作系统漏洞管理
带你读《2022龙蜥社区全景白皮书》——5.8.1 龙蜥操作系统漏洞管理
211 0

热门文章

最新文章